通信キャリアセキュリティ比較, まず結論
通信キャリア3社を比較すると、1位はau 70点、2位はドコモ 50点、3位はソフトバンク 40点でした。差がついた主因は、HSTS・Referrer-Policy・DKIMの有無です。
「au・ドコモ・ソフトバンクで安全なのはどこかをすぐ知りたい」「比較表だけ先に見たい」「フィッシング対策まで見ておきたい」という方向けに、公開ヘッダーとDNS情報から要点をまとめます。
先に結論だけ見るなら、下の比較表で30秒で把握できます。 そのあとに、DMARC未設定リスクとHSTSの差を読むと判断しやすいです。
比較表だけ先に見たい方向け
- 1位 au 70点
- 2位 ドコモ 50点
- 3位 ソフトバンク 40点
差がついた主因は、HSTS・Referrer-Policy・DKIMの有無です。
| キャリア | ドメイン | スコア | ランク |
|---|---|---|---|
| au(KDDI) | au.com | 70点 | B |
| NTTドコモ | docomo.ne.jp | 50点 | D |
| ソフトバンク | softbank.jp | 40点 | D |
項目別の比較
| 項目 | au | ドコモ | ソフトバンク |
|---|---|---|---|
| HTTPS | ✅ | ✅ | ✅ |
| HSTS | ✅ | ❌ | ❌ |
| CSP | ❌ | ❌ | ❌ |
| X-Content-Type-Options | ✅ | ✅ | ✅ |
| X-Frame-Options | ✅ | ✅ | ✅ |
| Referrer-Policy | ✅ | ❌ | ❌ |
| Permissions-Policy | ❌ | ❌ | ❌ |
| SPF | ✅ | ✅ | ✅ |
| DKIM | ✅ | ✅ | ❌ |
| DMARC | ❌ | ❌ | ❌ |
業界全体の傾向
通信キャリア3社の平均スコアは約53点と、通信インフラを担う企業としてはやや心もとない結果です。
- auがリード:HSTS、Referrer-Policy、DKIMなどauが一歩先を行く設定状況
- CSPは全社未設定:XSS対策の要であるCSPが3社とも未導入。大手ポータルサイトとしてのコンテンツの複雑さが導入の障壁になっている可能性
- DMARCは全社未設定:通信キャリアを騙るフィッシングSMS/メールが社会問題化している中、DMARC未設定は深刻な課題
- HSTSの導入遅れ:auのみ設定済み。ドコモ・ソフトバンクはHTTPからの接続を自動的にHTTPSに強制する仕組みがない
- ソフトバンクはDKIMも未設定:メール認証の基本であるDKIMが未設定で、なりすましメール対策に大きな課題
改善ポイント
- 全社共通(最優先):DMARCの導入。キャリアを騙るフィッシングは被害額が大きく、利用者保護の観点から緊急性が高い
- ドコモ・ソフトバンク:HSTSの設定。通信会社のサイトがHTTPで中間者攻撃のリスクにさらされるのは避けるべき
- ソフトバンク:DKIMの導入でメール認証の基盤を整備
- 全社共通:CSPの段階的導入とPermissions-Policyの設定
通信キャリアは数千万人の個人情報を保有し、決済サービスも展開しています。フィッシング攻撃の主要ターゲットであることを考えると、Webセキュリティ設定の強化は喫緊の課題と言えるでしょう。
メール認証の見方をまとめて整理したい場合は、メール認証チェックの記事も合わせて読むと、DMARCやDKIMの差分を判断しやすくなります。
各社の詳細分析
他の業界のセキュリティ比較
- SaaS大手5社のセキュリティ比較ランキング:freee・SmartHR・マネーフォワードなど
- トヨタ・ホンダ・日産のセキュリティ比較
- EC大手5社のセキュリティ比較
- HTTPSとは?仕組みと設定方法を図解で解説
免責事項:本記事は、HTTPレスポンスヘッダーおよびDNS情報の公開情報に基づく分析であり、実際のセキュリティ設定を保証するものではありません。スコアは独自の採点基準によるものです。情報は調査時点のものであり、最新の状況とは異なる場合があります。